none
Обновление сертификата в центре сертификации RRS feed

  • Вопрос

  • Добрый день, поднят центр сертификации, имеется шаблон, который применяется для подписи, устанавливается ко всем пользователям. Устанавливается через GPO. Сейчас срок действия сертификата заканчивается, возник вопрос, будет ли он автоматически обновлен у всех пользователей (где это можно посмотреть), можно ли как-то принудительно автоматически его обновить раньше у всех/выборочных пользователей? А то в консоле можно только отозвать сертификат...
    11 ноября 2020 г. 8:24

Ответы

  • И еще такой вопрос, можно ли использовать галку Опубликовать сертификат в AD, если использую сертификат для подписи. А то пользователи бегают между компами, создается новый сертификат, а старый остается и у одного пользователя несколько действующих сертификатов

    Не можно, а нужно и поставить галку "не выдавать не использовать автоматическую перезаявку если такой сертификат существует в AD". Если пользователи бегают между ПК, я бы рекомендовал использовать перемещаемые профили.
    • Помечено в качестве ответа RK3DNP 19 ноября 2020 г. 13:42
    18 ноября 2020 г. 21:12

Все ответы

  • Если у шаблона указан autoenroll, то будет автоматически обновлен.
    11 ноября 2020 г. 9:08
  • Обновлен только тогда, когда закончится его срок? Можно ли автоматически обновить заранее его у части людей? может через powershell к примеру?
    11 ноября 2020 г. 9:19
  • Посмотрите настройки - емнип там за 2 недели авто-перевыпуск идёт до окончания, но могу ошибаться.
    11 ноября 2020 г. 11:25
  • А это где? В шаблоне есть удалять отозванные или просроченные сертификаты.
    В GPO, там как раз и указывается автоматическое обновление и что делать со старыми сертификатами, но там нет никаких сроков, только включить/выключить и две галки.

    11 ноября 2020 г. 11:56
  • И еще такой вопрос, можно ли использовать галку Опубликовать сертификат в AD, если использую сертификат для подписи. А то пользователи бегают между компами, создается новый сертификат, а старый остается и у одного пользователя несколько действующих сертификатов

    • Изменено RK3DNP 13 ноября 2020 г. 12:38
    13 ноября 2020 г. 12:37
  • И еще такой вопрос, можно ли использовать галку Опубликовать сертификат в AD, если использую сертификат для подписи. А то пользователи бегают между компами, создается новый сертификат, а старый остается и у одного пользователя несколько действующих сертификатов

    Не можно, а нужно и поставить галку "не выдавать не использовать автоматическую перезаявку если такой сертификат существует в AD". Если пользователи бегают между ПК, я бы рекомендовал использовать перемещаемые профили.
    • Помечено в качестве ответа RK3DNP 19 ноября 2020 г. 13:42
    18 ноября 2020 г. 21:12
  • Профили то перемещаемые.

    Где-то прочитал, что галка эта ставится если только для авторизации сертификат, если не ошибаюсь, а для подписи не нужна. Попробую с галкой.

    19 ноября 2020 г. 10:39
  • Эта галка нужна, что бы каждый раз не выдавался сертификат, если сертификат по данному шаблону уже опубликован в AD. В вашем случае один раз сертификат получил пользователь и  дальше он путешествует с профилем по всем ПК.

    Данная галка будет особенно полезна, если вы будете использовать S-MIME, вот там начнутся проблемы если будет 100500 сертификатов опубликовано у пользователя.

    19 ноября 2020 г. 13:06
  • Я тоже так подумал, что нужна, но смутило то сообщение. Попробую с галкой, спасибо.
    19 ноября 2020 г. 13:42